Com o advento da Lei 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados, ou simplesmente “LGPD”, as empresas que utilizam o tratamento, compartilhamento e ou gestão de dados pessoais deverão adotar medidas capazes de garantir a adequação da sua política às novas normas.

Surgindo como um marco na legislação brasileira, a Lei Geral de Proteção de Dados, já sancionada pelo presidente da república e que passará a vigorar em agosto do corrente ano, possui como objetivo a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A lei sobre proteção de dados pessoais está adaptada ao contexto da evolução das tecnologias, baseadas em plataformas digitais, big data, inteligência artificial, machine learning (aprendizagem de máquinas mediante códigos), etc. Assim, quanto mais comum se tornam a transmissão e o compartilhamento de dados, maior é a necessidade de se ter uma legislação atualizada acerca do tema.

Baseada na General Data Protection Regulation (GDPR), regulamento do direito europeu sobre privacidade e proteção de dados pessoais, aplicável a todos os indivíduos na União Europeia, a LGPD brasileira surge quase que como um espelho do citado regulamento, tanto pela influência mundial que o regulamento exerce, quanto pela pressão internacional ante a insegurança jurídica em frente da ausência de lei específica brasileira.

A LGPD brasileira, assim como a sua irmã europeia, possui como principal objetivo promover a regulação e proteção de dados pessoais, deixando as regras claras para as empresas no que se refere à coleta, armazenamento, tratamento e compartilhamento de dados pessoais.

A partir da vigência da nova lei, todas as empresas responsáveis pelo tratamento de dados pessoais de indivíduos brasileiros deverão adequar seus contratos e normas internas aos termos previstos na legislação, a qual prevê, por exemplo, a necessidade de uma cláusula destacada das demais cláusulas contratuais que autorize o armazenamento e/ou compartilhamento de dados do usuário.

Além do destaque, deverá haver o consentimento por escrito ou por outro meio que demonstre a manifestação de vontade do titular para que os dados possam ser armazenados ou compartilhados (art. 8.º, § 1.º). Isso quer dizer que o consentimento do titular do dado pessoal é condição imprescindível para a utilização válida de seus dados, perante a lei. Logo, seria necessário um contrato com espaço para o contratante rubricar a cláusula específica, a fim de demonstrar a sua devida anuência em caso de contrato físico, ou um campo destacado dos demais para assinalar, caso o contrato seja eletrônico.

Outro ponto de destaque refere-se à necessidade de se informar a finalidade da utilização dos dados pela empresa, a que se destinam e como serão utilizadas as informações pessoais do titular, sendo estritamente vedado o consentimento para autorizações genéricas (art. 8.º, § 4.º). Nesse contexto, o titular das informações deverá ser informado da destinação específica dos seus dados pessoais, se aquelas informações serão transmitidas a outras empresas, se serão comercializadas ou não, se servirão como base para pesquisas, sendo consideradas nulas pelo ordenamento jurídico as cláusulas contratuais que venham a prever destinações genéricas para os dados.

Mais um ponto de destaque da referida lei é que o consentimento para a utilização de dados pode ser revogado em qualquer tempo. O titular poderá, inclusive, solicitar a eliminação dos seus dados pessoais utilizados anteriormente, sendo que o procedimento para tanto não deve ser oneroso, passando a produzir efeitos dali em diante.

Fato é que o consentimento do titular ou responsável e a finalidade do tratamento são requisitos básicos exigidos pela LGPD. Cabe ao responsável pelo tratamento de dados realizar a prestação de contas, garantir a segurança dos dados, a transparência e a facilidade de acesso dos titulares às informações, devendo o tratamento ser limitado às necessidades previstas em sua finalidade.

A referida lei prevê ainda sanções àquelas empresas que descumprirem as normas, que variam desde uma simples advertência, com indicação de prazo para adoção de medidas corretivas, até multa de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Além das sanções administrativas, caso a empresa cause algum dano ao titular dos dados, esta ainda poderá responder civilmente perante a Justiça, observando-se o quanto disposto tanto no Código Civil quanto no Código de Defesa do Consumidor.

Desta forma, a fim de garantir o cumprimento de todos os requisitos exigidos pela LGPD, as empresas têm até agosto do corrente ano para:
– Realizar auditoria dos dados em tratamento;
– Nomear um encarregado para gerir a segurança de dados de terceiros;
– Implantar ou revisar as políticas de segurança da informação;
– Revisar os contratos e termos e condições;
– Elaborar relatórios de impacto à privacidade;
No que se refere aos contratos a serem atualizados estão inclusos:
– Política de privacidade;
– Contratos com o consumidor;
– Contratos de trabalho;
– Contratos com terceirizados;
– Política de cookies.

Será necessário atentar-se também para comprovação da aplicação de medidas administrativas e técnicas de proteção dos dados pessoais, conforme previsão dos artigos 6.º, 18 e 42 a 49 da LGPD.

As empresas deverão atentar ainda para a legitimação dos contratos antigos, pois as mesmas regras criadas para novas coletas deverão ser aplicadas aos contratos antigos, mas com procedimentos específicos; por exemplo, dados que por determinação interna não poderão mais ser coletados deverão ser eliminados se fizerem parte do banco de dados do legado.

Dados que deverão ter consentimento em novas coletas, caso já existam no legado, deverão ser legitimados por meio de uma nova comunicação e consentimento expresso do titular.

Portanto, é importante estabelecer dois grupos de dados pessoais: os que precisam de consentimento e os que podem ser mantidos dentro de alguma das exceções de consentimento (cumprimento de obrigação legal, por exemplo).

Fazer o levantamento inicial do inventário das bases de dados pessoais atuais da empresa é de extrema importância para elaborar um plano de ação eficiente. A revisão dos contratos antigos, a readequação das políticas de segurança, a criação de regras de compliance, dentre outras ações, são fundamentais para que as medidas administrativas e técnicas adotadas a partir daí estejam em conformidade com a nova lei, evitando com isto sanções administrativas e judiciais.

Por Lucianne Bernardino Cardoso, advogada especialista em Direito Civil e Empresarial e sócia da IBC Advocacia.
luciannecardoso@ibcadvocacia.com.br